CyberVolk：与俄罗斯黑客组织的非法网络

重点概述

CyberVolk是一个提供勒索软件即服务（RaaS）的黑客组织，具有亲俄罗斯的背景。该组织与其他类似团体有着紧密的联系，显示出民族主义与经济利益驱动的网络犯罪的融合。根据
SentinelLabs 发布的报告，CyberVolk 的活动已扩展到包括对日本实体的攻击。它的勒索软件受到了先前黑客组织 AzzaSec的代码启发，并正在不断演变。

CyberVolk 在 2024 年 5月首次以其新名称出现，并在次月开始宣称勒索受害者。该组织最近攻击了日本的多个机构，包括日本基金会和日本气象局。这些行为混合了政治和经济动机，许多黑客组织常常借助地缘政治问题作为针对特定国家的理由。

组织名称 | 主要目标 | 关联代码来源
—|—|—
CyberVolk | 日本实体 | AzzaSec
Invisible/Doubleface | 反以色列组织 | AzzaSec
HexaLocker | LAPSUS$ 黑客集团 | 未公开

以上表格展示了 CyberVolk 及其相关团体的目标和代码来源。

CyberVolk 使用的勒索软件本质上是基于 AzzaSec 的代码，该组织因具亲俄罗斯、反乌克兰和反以色列的信念而被解散。CyberVolk的勒索软件主要针对 Windows 系统，采用多种加密算法。执行软件时，加密文件会被加上 “CyberVolk” 的后缀，用户墙纸也会变成显示
CyberVolk 徽标的图像。

竞争与内斗

CyberVolk 在与同类团体的沟通中，曾依赖 Telegram 平台进行联络。然而，因各黑客组织间紧张关系，该组织在 2024 年 11月早期被禁止使用 Telegram，现在改为使用 X 作为主要公共沟通渠道。由于其他竞争组织利用 Telegram 的服务条款武器化，导致这些内斗加剧。

这种局势的复杂性在于，许多勒索集团和其前成员之间的矛盾不断升级，导致 CyberVolk 和 Doubleface 等组织遭到封禁。根据
SentinelLabs 的调查，前 AzzaSec 和 APTZone 成员还对其它组织的封禁事件负责。

这些混合着政治和经济动机的网络犯罪团体，正不断演化其工具和策略，CyberVolk 最近开发了一种新的 Webshell 和信息窃取软件。

SentinelLabs 做出的结论强调，网络安全团队需要对网络犯罪生态系统中的变化保持高度警觉，以应对日益复杂的勒索软件活动。

总体来看，CyberVolk和类似组织的兴起，表明了国家支持的黑客活动与新崛起的勒索团伙之间的界限越来越模糊。这一现象也在其他国家支持的黑客组织使用勒索软件、以及与资助网络犯罪团伙的合作中得到了印证。

随着网络攻击形式的变化和代码重用的现象不断增多，CyberVolk 和其他勒索团伙的未来行动仍难以预测。